转:CAS单点登录(SSO)完整教程(2011-11-18更新)
CAS登录成功
你成功了吗?如果没有成功请再检查以上步骤!
七、CAS服务器深入配置2011-11-05更新说明:对于3.4.10版本来官方没有直接提供war包而仅仅提供了源码,因为官方使用maven构建项目,所以需要读者自己构建打包,其实也比较简单,请参考文章最后面的构建说明。
使用Maven构建:使用cmd或者shell进入cas-server-3.4.10目录,运行:mvn package -pl cas-server-webapp,cas-server-support-jdbc
意思是只需要构建cas-server-webapp和cas-server-support-jdbc,如果需要其他的请根据文件夹名称设置或者 构建全部模块,打包全部模块命令:mvn package 即可。打包过程中会从网络下载需要的jar包,请耐心等待;如果在~/.m2/settings.xml中定义了mirror代理*,那么请把*随便修改 一个字符,否则下载jar包会失败!
打包完成后就可以从cas-server-webapp/target/cas.war复制到你的tomcat/webapp中;或者直接复制 cas-server-webapp/target/cas-server-webapp-3.4.10目录到tomcat/webapp目录下,其他步 骤和上面一样
上面的初体验仅仅是简单的身份验证,实际应用中肯定是要读取数据库的数据,下面我们来进一步配置CAS服务器怎么读取数据库的信息进行身份验证。
首先打开tomcat/webapp/cas/WEB-INF/deployerConfigContext.xml文件,配置的地方如下:
- 找到第92行处,注释掉:SimpleTestUsernamePasswordAuthenticationHandler这个验证Handler,这个是比较简单的,只是判断用户名和密码相同即可通过,这个肯定不能在实际应用中使用,弃用!注释掉92行后在下面添加下面的代码:[html] view plaincopyprint?
- <bean?class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">??????<property?name="dataSource"?ref="dataSource"?/>??
- ????<property?name="sql"?value="select?password?from?t_admin_user?where?login_name=?"?/>??????<property?name="passwordEncoder"?ref="MD5PasswordEncoder"/>??
- </bean>????
- 在文件的末尾之前加入如下代码:????
- <bean?id="dataSource"?class="org.springframework.jdbc.datasource.DriverManagerDataSource">?????<property?name="driverClassName"><value>com.mysql.jdbc.Driver</value></property>??
- ???<property?name="url"><value>jdbc:mysql:///wsriademo</value></property>?????<property?name="username"><value>root</value></property>??
- ???<property?name="password"><value>root</value></property>??</bean>??
- ???<bean?id="MD5PasswordEncoder"?class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder">????
- ????<constructor-arg?index="0">??????????<value>MD5</value>??
- ????</constructor-arg>??</bean>??
- <span?style="color:#993333;?font-weight:bold">CREATE</span>?<span?style="color:#993333;?font-weight:bold">TABLE</span>?t_admin_user?<span?style="color:#66cc66">(</span>??????id?<span?style="color:#993333;?font-weight:bold">BIGINT</span>?<span?style="color:#993333;?font-weight:bold">NOT</span>?<span?style="color:#993333;?font-weight:bold">NULL</span>?<span?style="color:#993333;?font-weight:bold">AUTO_INCREMENT</span><span?style="color:#66cc66">,</span>??
- ????email?<span?style="color:#993333;?font-weight:bold">VARCHAR</span><span?style="color:#66cc66">(</span><span?style="color:#cc66cc">255</span><span?style="color:#66cc66">)</span><span?style="color:#66cc66">,</span>??????login_name?<span?style="color:#993333;?font-weight:bold">VARCHAR</span><span?style="color:#66cc66">(</span><span?style="color:#cc66cc">255</span><span?style="color:#66cc66">)</span>?<span?style="color:#993333;?font-weight:bold">NOT</span>?<span?style="color:#993333;?font-weight:bold">NULL</span>?<span?style="color:#993333;?font-weight:bold">UNIQUE</span><span?style="color:#66cc66">,</span>??
- ????name?<span?style="color:#993333;?font-weight:bold">VARCHAR</span><span?style="color:#66cc66">(</span><span?style="color:#cc66cc">255</span><span?style="color:#66cc66">)</span><span?style="color:#66cc66">,</span>??????password?<span?style="color:#993333;?font-weight:bold">VARCHAR</span><span?style="color:#66cc66">(</span><span?style="color:#cc66cc">255</span><span?style="color:#66cc66">)</span><span?style="color:#66cc66">,</span>??
- ????<span?style="color:#993333;?font-weight:bold">PRIMARY</span>?<span?style="color:#993333;?font-weight:bold">KEY</span>?<span?style="color:#66cc66">(</span>id<span?style="color:#66cc66">)</span>??<span?style="color:#66cc66">)</span>?ENGINE<span?style="color:#66cc66">=</span>InnoDB;??
复制cas-server-3.4.3.1\modules\cas-server-support-jdbc-3.4.3.1.jar和mysql驱动jar包到tomcat/webapp/cas/WEB-INF/lib目录配置解释:QueryDatabaseAuthenticationHandler是cas-server-support-jdbc提供的查询接口其中一个,QueryDatabaseAuthenticationHandler是通过配置一个 SQL 语句查出密码,与所给密码匹配dataSource我就不用解释了吧,就是使用JDBC查询时的数据源sql语句就是查询哪一张表,本例根据t_admin_user表的login_name字段查询密码,CAS会匹配用户输入的密码,如果匹配则通过;下面是t_admin_user的表结构:[sql] view plaincopyprint?
- 添加cas-client的jar包,有两种方式:传统型:下载cas-client,地址:http://www.ja-sig.org/downloads/cas-clients/,然后解压cas-client-3.1.12.zip,在modules文件夹中有需要的jar包,请根据自己的项目情况选择使用
- <!--?cas?-->??<dependency>??
- ????<groupId>org.jasig.cas.client</groupId>??????<artifactId>cas-client-core</artifactId>??
- ????<version>3.1.12</version>??</dependency>??
- <!--?用于单点退出,该过滤器用于实现单点登出功能,可选配置-->??<listener>??
- ????<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>??</listener>??
- ???<!--?该过滤器用于实现单点登出功能,可选配置。?-->??
- <filter>??????<filter-name>CAS?Single?Sign?Out?Filter</filter-name>??
- ????<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>??</filter>??
- <filter-mapping>??????<filter-name>CAS?Single?Sign?Out?Filter</filter-name>??
- ????<url-pattern>/*</url-pattern>??</filter-mapping>??
- ???<!--?该过滤器负责用户的认证工作,必须启用它?-->??
- <filter>??????<filter-name>CASFilter</filter-name>??
- ????<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>??????<init-param>??
- ????????<param-name>casServerLoginUrl</param-name>??????????<param-value>https://sso.wsria.com:8443/cas/login</param-value>??
- ????????<!--这里的server是服务端的IP-->??????</init-param>??
- ????<init-param>??????????<param-name>serverName</param-name>??
- ????????<param-value>http://localhost:10000</param-value>??????</init-param>??
- </filter>??<filter-mapping>??
- ????<filter-name>CASFilter</filter-name>??????<url-pattern>/*</url-pattern>??
- </filter-mapping>?????
- <!--?该过滤器负责对Ticket的校验工作,必须启用它?-->??<filter>??
- ????<filter-name>CAS?Validation?Filter</filter-name>??????<filter-class>??
- ????????org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>??????<init-param>??
- ????????<param-name>casServerUrlPrefix</param-name>??????????<param-value>https://sso.wsria.com:8443/cas</param-value>??
- ????</init-param>??????<init-param>??
- ????????<param-name>serverName</param-name>??????????<param-value>http://localhost:10000</param-value>??
- ????</init-param>??</filter>??
- <filter-mapping>??????<filter-name>CAS?Validation?Filter</filter-name>??
- ????<url-pattern>/*</url-pattern>??</filter-mapping>??
- ???<!--??
- ????该过滤器负责实现HttpServletRequest请求的包裹,??????比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。??
- -->??<filter>??
- ????<filter-name>CAS?HttpServletRequest?Wrapper?Filter</filter-name>??????<filter-class>??
- ????????org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>??</filter>??
- <filter-mapping>??????<filter-name>CAS?HttpServletRequest?Wrapper?Filter</filter-name>??
- ????<url-pattern>/*</url-pattern>??</filter-mapping>??
- ???<!--??
- ????该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。??????比如AssertionHolder.getAssertion().getPrincipal().getName()。??
- -->??<filter>??
- ????<filter-name>CAS?Assertion?Thread?Local?Filter</filter-name>??????<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>??
- </filter>??<filter-mapping>??
- ????<filter-name>CAS?Assertion?Thread?Local?Filter</filter-name>??????<url-pattern>/*</url-pattern>??
- </filter-mapping>?????
- <!--?自动根据单点登录的结果设置本系统的用户信息?-->??<filter>??
- ????<display-name>AutoSetUserAdapterFilter</display-name>??????<filter-name>AutoSetUserAdapterFilter</filter-name>??
- ????<filter-class>com.wsria.demo.filter.AutoSetUserAdapterFilter</filter-class>??</filter>??
- <filter-mapping>??????<filter-name>AutoSetUserAdapterFilter</filter-name>??
- ????<url-pattern>/*</url-pattern>??</filter-mapping>??
- <!--?========================?单点登录结束?========================?-->??
Maven型:[html] view plaincopyprint?2011-11-05更新:3.2.1版本(只有源码的情况,包含maven的pom.xml),和用maven打包server的方式一样,在cas-client-3.2.1目录中运行命令:mvn package -pl cas-client-core -DskipTests=true
然后从target目录中复制cas-client-core-3.2.1.jar到应用的WEB-INF/lib目录中
设置filter
先上配置信息:[html] view plaincopyprint?
每个Filter的功能我就不多说了,都有注释的,关键要解释一下AutoSetUserAdapterFilter的作用和原理.
查看完整的web.xml请猛击这里(Google code)
先看一下这个Filter的源码:
好的,如果你是老程序员应该很快就清楚Filter的目的,如果不太懂我再讲解一下;
主要是通过CAS的_const_cas_assertion_获取从CAS服务器登陆的用户名,然后再根据系统内部的用户工具(UserUtil.java)来判断是否已经登录过,如果没有登录根据登录名从数据库查询用户信息,最后使用设置把用户信息设置到当前session中。
这样就把用户信息保存到了Sessino中,我们就可以通过UserUtil工具来获取当前登录的用户了,我在实例项目中也加入了此功能演示,请看代码:main.jsp的第44行处补充一下:如果是为一个老项目添加单点登录功能,那么基本不需要其他的修改,设置好上面的filter即可;当然最好获取用户信息的地方都调用一个工具类,统一管理不容易出错。
CAS服务端(cas-server)的界面只能在测试的时候用一下,真正系统上线肯定需要定制开发自己的页面,就想网易和CSDN的 统一认证平台一样,所有子系统的认证都通过此平台来转接,大家可以根据他们的页面自己定制出适合所属应用或者公司的界面;简单介绍一下吧,复制 cas\WEB-INF\view\jsp\default\ui的一些JSP文件,每一个文件的用途文件名已经区分了,自己修改了替换一下就可以了。
例如:
登录界面:casLoginView.jsp
登录成功:casGenericSuccess.jsp
登出界面:casLogoutView.jsp
花了一下午时间终于写完了,总共十项也算完美了。
现在看来起始利用CAS实现单点登录其实不难,不要畏惧,更不要排斥!
本教程后面的代码部分均来自本博客的wsria-demo项目分支wsria-demo-sso
和本教程相关资料下载:
- 本教程使用的演示程序,点击这里下载使用keytool生成的key和证书,点击这里下载
到此本教程全部结束,希望看完后对你有帮助,如果有帮助还望继续推荐给其他人,有说明意见或者问题请回复或者IM联系我。
十一、疑难问题如果遇到了意料之外的问题请参考文章的评论部分,或许能找到问题的原因以及解决办法!
十二、更新记录_2011-11-05整整一年之后因为需要为客户搭建CAS换季再次更新本文章,不知道碰巧呢碰巧呢还是碰巧呢,反正就是11.5号了……
在这里还要感谢大家对我的支持,要不然这篇教程也不会一直处于本博客的第一位……
不知道从哪个版本开始cas全面使用了maven构建项目,所以需要安装apache maven工具来构建源码,下面step by step讲解如何构建(面向没有接触过maven的童鞋)
下载Maven:打开后下载对应的包,windows用户请下载Binary zip格式的压缩包,linux或者unix用户请下载Binary tar.gz格式的压缩包安装、配置Maven:解压压缩包到一个目录,例如/home/kafeitu/tools/apache/apache-maven-3.0.3,然后设置系统环境变量M3_HOME=/home/kafeitu/tools/apache/apache-maven-3.0.3,在PAT变量中添加路径,windows用户:;%M3_HOME%/bin,Linux用户:在.bashrc或者/et/profile文件中找到PATH,添加:$M3_HOME/bin验证安装:重新打开一个命令窗口(linux用户可以运行:. .bashrc或者. /etc/profile),在cmd或者shell中进入解压的cas server目录后运行:mvn -version后如果看到打印系统信息和maven版本信息后证明配置ok十三、更新记录_2011-11-18你也可以申请免费的StartSSL CA证书:
StartSSL(公司名:StartCom)也是一家CA机构,它的根证书很久之前就被一些具有开源背景的浏览器支持(Firefox浏览器、谷歌Chrome浏览器、苹果Safari浏览器等)。
申请地址:http://www.startssl.com
申请方法参考:http://www.linuxidc.com/Linux/2011-11/47478.htm